Государственные информационные системы (ГИС, ГИСА, GIS) применяются для реализации полномочий органов власти, межведомственного обмена, учета социально значимых сведений. Такие системы обрабатывают информационный ресурс, содержащий служебную либо иную защищаемую информацию. При эксплуатации требуется обеспечить установленный уровень защиты, подтвердить соответствие нормам регулятора. В этих целях проводится аттестация ГИС.
Что представляет собой аттестация государственной информационной системы
Аттестация ГИС — процедура проверки на соответствие установленным нормам безопасности. Цель — подтвердить внедрение организационных, технических мер, корректную работу средств защиты, законность эксплуатации.
Нормативное основание — Приказ ФСТЭК России от 11.02.2013 №17. Документ определяет требование к организации защиты в государственных информационных системах. С 01.03.2026 вступает в силу приказ ФСТЭК №117, который обновляет порядок обеспечения безопасности, заменяя прежние положения.
Выданные ранее аттестационные документы сохраняют юридическую силу до окончания срока действия. С указанной даты проведение аттестации объекта информатизации в форме проверки ГИС становится обязательным. Эксплуатация без положительного заключения признаётся нарушением.
Проведение работ вправе осуществлять лицензированная организация, имеющая разрешение ФСТЭК на техническую защиту данных ограниченного доступа.
Требования ФСТЭК к процедуре аттестации ГИС
Регулятор устанавливает комплексные требования к защите.
Технический блок предусматривает применение сертифицированных средств защиты информации (СЗИ), криптографических механизмов, разграничение прав доступа, журналирование событий. Использование несертифицированных средств недопустимо.
Организационный блок включает утверждённые регламенты, инструкции, назначение ответственных лиц, контроль выполнения мер. Обучение персонала относится к обязательным условиям.
Аттестация ГИС проводится до начала обработки защищаемых данных. Допускается испытание выделенных сегментов, если реализована полная технологическая цепочка обработки. В таком случае аттестационный документ распространяется на идентичные сегменты.
Если прикладной сервис функционирует в составе общей инфраструктуры, проверке подлежит весь объект информатизации целиком.
Аттестация рабочих мест в составе ГИС
Аттестация рабочих мест ГИС — часть общей процедуры подтверждения соответствия. Проверке подлежит каждое рабочее место, подключённое к государственной системе.
Оценивается состояние оборудования, корректность настройки программных компонентов, наличие средств контроля доступа, защита каналов передачи информации. Проверяется соблюдение принципа минимальных полномочий.
Проведение возможно поэтапно. При большом количестве рабочих позиций допускается разделение процесса на этапы с оформлением отдельных протоколов.
Обязательная форма применяется для федеральных, региональных ГИС. В иных случаях инициатором может являться владелец системы.
Цели процедуры:
-
снижение рисков утечки;
-
подтверждение уровня безопасности;
-
выполнение требований приказа ФСТЭК;
-
обеспечение законной эксплуатации.
Порядок проведения аттестации ГИС
Алгоритм определён приказом №17.
Этапы:
-
Сбор исходных данных, анализ проектной документации.
-
Обследование объекта, оценка фактической конфигурации.
-
Подготовка программы аттестационных испытаний.
-
Контроль функционирования защитных механизмов.
-
Оформление протоколов, анализ рисков.
-
Выдача аттестата.
После получения положительного заключения допускается ввод ГИС в промышленную эксплуатацию.
СПРАВКА. Контрольные мероприятия обязательны:
для 1 класса — ежегодно;
для 2–3 классов — не реже одного раза в два года.
Запрещается проводить проверку специалистам, участвовавшим в создании СЗИ.
Документы и исходные данные для аттестации
Перечень установлен пунктом 17.1 приказа №17.
Требуются:
- модель угроз;
- акт классификации;
- техническое задание;
- проектная документация на СЗИ;
- организационные регламенты;
- отчёты по мониторингу уязвимостей;
- протоколы испытаний.
СПРАВКА. Модель угроз согласуется с ФСТЭК России. Отсутствие обязательных материалов делает проведение аттестации объекта информатизации невозможным.
Дополнительные документы для организаций
При эксплуатации ГИС могут потребоваться:
-
сертификаты по стандартам ИСО 9001, 14001, 45001;
-
разрешительная документация на оборудование (сертификаты и декларации по ТР ТС/ЕАЭС, ПП РФ 2425, протоколы испытаний и т.д.);
-
лицензия ФСТЭК;
-
подтверждение соответствия применяемых средств защиты.
Комплексная подготовка документации снижает риски отказа в выдаче аттестата.
Оформление полного документационного пакета для бизнеса, включая аттестацию ГИС, доступно в ЦС «Ростест Урал». Эксперты сопровождают процесс, подготавливают необходимые документы, организуют проведение испытаний, обеспечивают соответствие требованиям регулятора. Консультационные услуги предоставляются без оплаты, что позволяет сократить затраты, избежать необходимости самостоятельного изучения сложной нормативной базы.
ВАЖНО. Компаниям не требуется принимать в штат работника, в обязанности которого входит оформление разрешительной документации. Это особенно актуально для организаций с эпизодическими потребностями в оформлении.
